Infelizmente, muitas empresas ainda não entenderam como é séria a tarefa de coletar e armazenar dados pessoais de seus clientes. E quando um vazamento de dados acontece elas acreditam que apenas uma retratação com o público e um acordo com o Ministério Público podem resolver.
Afinal, pensam elas, se esse tipo de situação já aconteceu com gigantes do mercado, como Facebook, Uber, Adobe e Netshoes e essas empresas continuam a lucrar, então um vazamento de dados não deve ser tão grave, certo? Errado.
A verdade é que essas e outras companhias foram sim bastante prejudicadas por ter sofrido com a ação de criminosos digitais, e com empresas menores as consequências podem ser ainda piores.
A seguir, vamos esclarecer algumas dúvidas sobre as consequências de um vazamento de dados e sobre a atuação do Ministério Público nesses casos.
Posso fazer um acordo com o Ministério Público?
A empresa pode sim fazer um acordo com o MP. Mas isso ainda a coloca bem longe de resolver o problema.
Em 2018, o Banco Inter teve os dados de mais de 19 mil clientes vazados. Primeiro, a instituição negou a quebra de sigilo, mas algumas semanas depois acabou confessando que informações de seus correntistas estavam sendo vendidas na Deep Web.
Inicialmente, o Ministério Público cobrou uma multa de R$ 10 milhões e, depois de meses de disputa, o valor for acordado em R$ 1,5 milhão. Deste montante, R$ 500 mil seriam encaminhados para instituições de caridade e R$ 1 milhão para órgãos públicos que combatem os crimes digitais.
Apesar de ter reduzido a sanção aplicada no caso, o Banco Inter pode ter perdido algo ainda mais precioso: sua credibilidade com o público. Ter suas senhas, dados pessoais e transações financeiras expostas é algo gravíssimo e muitos correntistas podem ter perdido a confiança no banco.
O MP é o único que vou precisar enfrentar?
Bater de frente com o Ministério Público, normalmente, é o principal receio das empresas quando identificam um vazamento de dados, mas o MP não é o único órgão que uma companhia pode enfrentar quando tem problemas com a segurança. Também pode ser necessário lidar com ações judiciais em outras instâncias.
No caso do Banco Inter, por exemplo, a Comissão de Valores Mobiliários (CMV) também começou a investigar o caso no fim do ano passado e ainda pode abrir um processo contra a instituição financeira.
Além disso, a empresa que acabar expondo os dados que armazena pode enfrentar ações judiciais de seus clientes, funcionários e até parceiros comerciais se eles se sentirem prejudicados pela quebra de sigilo.
Unir uma redução drástica no número de clientes, o pagamento de uma multa que pode descapitalizar o seu negócio, uma porção de processos judiciais e a perda de parceiros estratégicos pode resultar em um período bastante complicado para a sua empresa e, eventualmente, até sua falência.
A LGPD pode endurecer as regras de vazamento de dados?
Sim, a nova Lei Geral de Proteção de Dados (LGPD) a ser implementada no ano que vem chega para deixar ainda mais clara a importância de fazer uma gestão adequada dos dados e endurecer as sanções em caso de vazamento.
Até 2020 as empresas que coletam e processam informações de brasileiros – online ou offline – ou têm operações no país precisam se adequar a uma série de regras para evitar sanções de até 2% de seu faturamento ou R$ 50 milhões por infração.
Como lidar com um vazamento de dados?
A melhor forma é prevenir que o vazamento aconteça e ter um advogado especializado em direito digital e proteção de dados é fundamental para isso.
Esse profissional pode ajudar a encontrar vulnerabilidades no seu sistema, propor soluções para reduzir as chances de acontecer um vazamento, orientar mudanças nos seus processos para se adequar às novas leis de proteção de dados e criar um plano de gestão de crise em caso de quebra de segurança.
Com a ajuda do especialista, você e sua equipe saberão exatamente que providências tomar caso haja um vazamento de dados e estarão melhor preparados para lidar com problemas jurídicos, caso eles aconteçam.
Se você quer ter essa segurança no seu negócio, entre em contato com os advogados da Assis e Mendes!
Você é o do tipo de que deixa tudo para a última hora? Então saiba que no caso da LGPD esse tipo de comportamento pode render muito prejuízo para a sua empresa.
A nova lei de proteção de dados só começa a vigorar em agosto de 2020, mas é essencial que as empresas comecem a se preparar para mudanças que a LGPD impõe, e a seguir você vai entender o porquê.
Planejamento é importante
A LGPD vai forçar as companhias brasileiras (e as estrangeiras que recolhem dados no Brasil) a fazer uma série de mudanças estruturais, que vão desde o setor de TI até o atendimento ao consumidor.
Fazer essas alterações de uma forma segura, eficiente e sem prejuízos para o negócio demanda muito estudo e planejamento. E é claro que as últimas semanas antes do fim do prazo não são suficientes para isso.
É na fase de planejamento que você poderá – preferencialmente com auxilio de um especialista em proteção de dados – desenhar todos os procedimentos que serão mudados, criar treinamentos para capacitar e educar os funcionários sobre o assunto e verificar quais desafios terá que enfrentar. Por meio dessa preparação detalhada será capaz de prever riscos e criar planos de gestão de crise e desenvolver métodos mais econômicos e eficientes para estar em compliance com a LGPD sem prejudicar seu negócio.
Há muito trabalho para ser feito
A Lei 13709/18 tem um texto extenso com mais de 60 artigos, novos conceitos e procedimentos que precisam ser implementados nas empresas até o próximo ano. E isso representa muito trabalho para ser feito.
“O prazo de 24 meses desde a promulgação da LGPD pode parecer grande, mas as mudanças e estrutura exigida pela lei são grandes. Muitas empresas que trabalham com dados terão que redesenhar processos internos ou mesmo a forma como oferecem serviços aos seus clientes”, explica Adriano Mendes, advogado especialista em proteção de dados e direito digital da Assis e Mendes Advogados.
Uma das mudanças proposta pela LGPD é que as empresas tenham um DPO, um profissional encarregado de mediar a comunicação entre o controlador, os titulares e a ANPD. Isso significa que talvez você precise fazer um processo seletivo para contratar esse especialista, reservar recursos, estrutura e equipamentos para que ele trabalhe, criar uma rotina de trabalho e treinar a equipe para trabalhar em conjunto com ele.
Só essas tarefas já demandam bastante tempo e trabalho, e essa é só uma das várias mudanças que as empresas terão que fazer até o ano que vem.
Existem problemas para serem resolvidos hoje
A LGPD pode entrar em vigor em 2020, mas existem questão que você pode precisar resolver agora!
A forma como os dados dos brasileiros devem ser tratados pode não ter sido ainda não for 100% formalizada, mas muitos cidadãos já estão totalmente cientes sobre a utilização de seus dados e sobre o crescente número de ataques digitais e vazamento de informações pessoais.
“Desde já, existem diversas ações do Ministério Público Federal questionando os vários vazamentos de dados por parte das empresas. Os pedidos de indenizações atuais, em muitos casos, são superiores aos previstos na Lei”, comenta Adriano.
Além disso, ainda que não sejam diretamente mencionadas na LGPD, boas práticas da segurança digital como encriptação de dados e criação de Termos de Uso nos sites devem ser feitas “para ontem”.
Dessa forma você não só reduz as chances de ter problemas graves com vazamento, fraudes e mal-entendidos, mas demonstra para o consumidor que se preocupa com a proteção dos seus dados e aumenta a sua confiança.
Todo precisam se acostumar
É possível que você implemente uma série de procedimentos e sistemas novos, faça um único treinamento da equipe e no dia seguinte tudo esteja funcionando perfeitamente? Sim, mas é bastante improvável.
A verdade é que qualquer alteração na rotina da operação pode começar um pouco desalinhada. Talvez você precise testar mais de um sistema, provavelmente será preciso tempo e prática para que todos os funcionários estejam atuando de acordo com a LGPD, você perceba que os procedimentos que desenhou não funcionam bem e precise refazer seu planejamento.
Fazer esses testes e verificar se todos – inclusive os clientes – estão respondendo bem aos novos processos também exige tempo, e o melhor é começar a fazer essa observação o quanto antes. Assim, quando o prazo para implementação da LGPD chegar sua empresa já vai ser expert em como atuar dentro da lei.
Você não vai querer descumprir a lei
Com multas de 2% do faturamento total da empresa ou R$ 50 milhões por infração cometida você certamente não vai querer atuar fora da lei, certo?
E se somarmos multas diárias, bloqueio e até exclusão dos dados pessoais relacionados à infração? Fica cada vez menos atrativo deixar tudo para a última hora e correr o risco de não atender ao prazo da LGPD, não é mesmo?
Para que isso não aconteça, conte desde já com o apoio dos advogados especializados em direito digital, direito empresarial e tecnologia da Assis e Mendes! O escritório conta com profissionais que conhecem profundamente as boas práticas de proteção de dados no Brasil e no mundo e podem ajudar a sua empresa a passar por essa transição de uma forma mais simples e sem prejuízos para o negócio!
A Wired, portal sobre tecnologia, noticiou recentemente um dos maiores vazamentos de dados da história. Segundo o site, houve uma brecha que expôs 772.904.991 e‑mails e senhas pessoais. O incidente está sendo chamado de Collection #1.
A falha teria sido notada inicialmente por Troy Hunt, um especialista em segurança digital, e contém cerca de 87 gigabytes de dados divididos em 12 mil arquivos. Algo que chama atenção é que as informações não estariam disponíveis para venda nos cantos mais obscuros da deep web, mas sim gratuitamente em um fórum de hackers.
Além
do número impressionante, outro ponto que diferencia o Collection #1 de outros
casos de vazamento de dados é a fonte. A maioria dos incidentes está ligada à uma
empresa, como já aconteceu com o Facebook, LinkedIn e Adobe. Mas no vazamento
detectado por Hunt, os arquivos reuniam dados de 2000 bancos de dados e nenhum
deles estava criptografado.
“Parece
uma coleção completamente aleatória feita com o objetivo de maximizar o número
de informações para os hackers. Não existem padrões óbvios, a intenção parece
ser apenas expor o máximo de informações”, contou Hunt em entrevista para a Wired.
O
especialista acredita que a ideia seja hackear não só os e‑mails, mas usar as
informações para conseguir acesso às redes sociais e outros sites, já que
muitas pessoas utilizam as mesmas senhas em diferentes plataformas.
Como saber se minha conta foi
hackeada?
Hunt mantém o site Have I Been Pwned?, algo como “Já fui hackeado?”, em tradução livre. Nele, Hunt promete vasculhar a internet para descobrir se o seu e‑mail já foi mencionado em algum vazamento de dados. A consulta é gratuita e pode ser feita facilmente informando o seu e‑mail.
Além disso, desde o ano passado o GDPR já obriga as empresas a informarem os usuários em casos de quebra de sigilo em até 72 horas e a Lei Geral de Proteção de Dados (LGPD) fará o mesmo a partir de 2020. Ou seja, se suas informações forem vazadas, a companhia que as mantinha em seu banco de dados devem entrar em contato direto com você.
Fui vítima de um vazamento de dados, e agora?
Se você foi uma vítima de um vazamento de dados, é fundamental trocar suas senhas o mais rápido possível. Não se esqueça que utilizar sequências numéricas e alfabéticas, ou mesmo informações óbvias, como seu nome, podem facilitar a vida dos hackers.
Adriano Mendes, especialista em Direito Digital e Direito Empresarial e sócio fundador da Assis e Mendes Advogados, sugere ainda uma consulta nas transações bancárias. Isso porque, através do seu histórico de e‑mails e contatos, o criminoso pode ter acesso à informações pessoais, como CPF, endereço e número de cartão de crédito
Adriano dá ainda uma dica preciosa: “tenha uma senha mestra
para o seu e‑mail principal, uma senha diferente para cada serviço que utilize
dados financeiros ou cartão de crédito e senhas ‘genéricas’ ou logins para os
demais serviços”. O especialista em Direito Digital ainda sugere serviços como
o SenhaSegura, o Lastpass e o Password1, que geram senhas automáticas.
Se
a plataforma tiver um sistema de confirmação de dois fatores – que solicita
outro tipo de confirmação, além da senha – é interessante habilitá-lo também.
Redes
sociais como o Facebook têm ainda uma ferramenta de segurança que permite que
você qualifique outro usuário para administrar sua conta em casos de
emergência. Através desses amigos você também pode entrar em contato com a
plataforma e reaver o seu perfil.
Se a sua empresa apresentou uma falha na segurança e os dados foram expostos, o melhor a se fazer é seguir o protocolo do GDPR e da LGPD (Lei Geral de Proteção de Dados) e avisar os consumidores o mais rápido possível.
Também
é fundamental acionar sua equipe de TI para localizar a brecha e corrigi-la e
movimentar seus advogados para analisar as medidas cabíveis.
Se você precisa implementar medidas de segurança contra os ataques digitais e vazamento de dados na sua empresa, entre em contato com os advogados da Assis e Mendes. Nossos especialistas em Direito Empresarial e Direito Digital vão ajudar o seu negócio a atuar de forma segura, eficiente e em conformidade com a lei.
É fato que o GDPR (Regulamento Geral sobre a Proteção de Dados criado pela União Europeia) fez com que empresas de todo o mundo se movimentassem para rever seus procedimentos de captação e processamento de dados. Mas, além disso, o GDPR também tem mobilizado muitos países a criarem suas próprias regras de proteção de informações pessoais.
O Brasil, recentemente, instituiu a Lei Geral de Proteção de Dados (LGPD), que deve ter um papel semelhante ao do GDPR: regulamentar o recolhimento e uso de informações captadas pela internet.
Mas esse assunto se mostrou tão importante que estão surgindo projetos de lei para criar regras ainda mais específicas, que possam justificar ações mais particulares em cada estado ou cidade.
A exemplo disso, a PL 598/2018, de autoria do deputado Rogério Nogueira, cria uma legislação estadual para que o estado de São Paulo possa agir de forma especial na proteção de dados.
Obviamente, uma determinação estadual não poderá sobrepor uma lei federal, como é o caso da LGPD. Mas a proposta de Nogueira tem criado uma certa insegurança na comunidade jurídica, visto que muitos acreditam que ela pode entrar em conflito com a Lei Geral de Proteção de Dados ou criar situações de “dupla punição”, em que o infrator responderia por se desviar da LGPD e da PL 598/2018. Como resultado, haveria grave custos para as empresas e diversos impasses em uma disputa jurídica.
Mas será que realmente existem motivos para se preocupar? É isso que vamos analisar na sequência.
Projeto de Lei 598/2018 x LGPD: principais diferenças
Apesar do receio de haver discrepâncias e conflitos entre as duas propostas, a realidade é que o projeto de lei em discussão é bastante semelhante com o descrito pelo LGPD. Na verdade, poucas são as mudanças e os detalhamentos que o documento apresenta, quando comparado à legislação federal.
A principal diferença é a criação de um órgão regional para regulamentar a captação e processamento de dados. Nogueira defende que haja uma Autoridade Estadual de Proteção de Dados que fiscalize, especificamente, o estado de São Paulo. A instituição governamental serviria como uma adição à Autoridade Nacional proposta no LGPD.
Com isso, a ideia é aumentar ainda mais a segurança e garantir que as empresas realmente estejam cumprindo as orientações de proteção de dados.
Outro ponto que foi ressaltado pelos juristas como diferença entre o projeto de lei e a LGPD é o tempo para adequação. Enquanto e lei federal deve vigorar plenamente apenas em 2020, a PL 598/2018 passaria a valer como regra 180 dias depois de sua validação, o que daria menos tempo para que as empresas se adequassem.
E não seria nada interessante infringir o projeto de lei, caso ele venha a ser instituído. Nogueira defende que as penalidades cheguem à R$ 25 milhões por infração.
Há motivos para insegurança jurídica?
A PL 598/2018 ainda é uma proposta “agridoce” para a comunidade jurídica, e é muito difícil saber o que esperar se ela vier a ser aprovada. Mas já existem algumas especulações, e a criação dos dois órgãos é o objeto da maioria delas.
Ao mesmo tempo em que ter dois órgãos pode fortalecer a vigilância, a existência de autoridades estaduais e federais significaria que as empresas prestariam contas duas vezes, e isso poderia implicar em uma dupla sanção.
O fato de haverem dois órgãos também faz pensar que se as regras forem minimamente diferentes, as empresas podem acabar descumprindo uma ordem estadual para cumprir a orientação da federal, ou vice-versa. E se as duas instituições praticarem os mesmos princípios, há necessidade de ambas? Não seria mais simples e econômico centralizar as ações em uma única fonte? Ou é melhor manter polos regionais para um controle maior?
Ainda não sabemos se a PL 598/2018 será aprovada, nem podemos garantir quais seriam suas implicações no dia a dia do consumidor e das empresas. Mas é seguro dizer que nunca houveram tantos projetos voltados para a segurança da informação e da proteção de dados e as empresas que não estiverem alinhadas com esses princípios certamente estarão ultrapassadas em pouco tempo.
Se você não quer que isso aconteça com o seu negócio, deve começar já a ajustar seus processos às novas regras de proteção de dados. Se precisar de ajuda, conte com os advogados especializados em direito digital e tecnologia da Assis e Mendes!
Os aplicativos que você tem no seu celular, as redes sociais que costuma usar, os sites que acessa, e até mesmo o sistema operacional do seu computador estão colhendo dados sobre você e seus hábitos.
E com tantas empresas de olho em tudo o que o consumidor faz, compra, escreve e pesquisa, a preocupação com a privacidade na internet tem se intensificado cada vez mais. E nesse cenário que surge uma das medidas que já está mudando o recolhimento de dados e privacidade na internet: o GDPR.
O QUE É GDPR?
Como ação em defesa às informações pessoais do público, a União Europeia divulgou, recentemente, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que entrou em vigor em 25 de maio de 2018. A diretiva tem como objetivo manter a transparência no processo de captação de dados e permitir que o consumidor decida o que fazer com suas próprias informações.
As regras não valem apenas para os países integrantes da União Europeia, mas para todos aqueles que, de alguma forma, têm contato com clientes europeus, processam ou armazenam seus dados nesses países.
E quando falamos sobre dados, vale qualquer informação: fotos, nomes, postagens em redes sociais e até endereços de IP precisam ser regularizados pelas empresas que os detêm.
As empresas que não se adaptarem ao Regulamento Geral podem receber multas de até 4% de seu faturamento anual, ou até 20 milhões de euros.
O QUE DIZ O GDPR?
Veja, a seguir, quais os principais termos do GDPR e prepare-se para atualizar o seu sistema de coleta e gerenciamento de dados, se você presta serviços nos países da União Europeia.
Notificação de quebra de sigilo
Vez ou outra surge uma notícia sobre um grande vazamento com um número gigante de dados perdidos, mas dificilmente os consumidores que tiveram suas informações roubadas ficam sabendo que isso aconteceu com eles.
Com o GDPR isso muda, e as empresas passam a ter a obrigação de notificar seus clientes sobre o vazamento em até 72 horas depois de notarem a quebra de sigilo.
Direito ao acesso
Com a atualização, os usuários também recebem, formalmente, o direito de saber e de exigir que as empresas informem onde, quando e com qual finalidade seus dados estão sendo armazenados.
Direito ao esquecimento
O consumidor também poderá exigir que as empresas apaguem seus dados, desde que eles tenham sido recolhidos sem o consentimento claro do usuário ou quando já não sejam considerados úteis para o propósito inicial.
Nesses casos, as empresas deverão apagar as informações em sua totalidade, garantindo que não vão reter cópias nem guardar os dados de qualquer maneira.
Portabilidade dos dados
O Regulamento Geral de Proteção de Dados da União Europeia também introduz o conceito de portabilidade dos dados pessoais, que dá ao consumidor a possibilidade de levar suas informações para outras empresas, se assim o desejar.
E a companhia que mantém atualmente os dados do usuário deve facilitar e apoiar esse processo.
Controladores de acesso
O GDPR também exige que haja profissionais encarregados de criar medidas e procedimentos que garantam que os dados serão colhidos e processados de acordo com as novas normas para manter os dados dos consumidores protegidos.
Embora as penalizações pelo descumprimento das obrigações do regulamento sejam duras, de acordo com um estudo realizado pela Veritas Technologies, até julho do ano passado, 31% das empresas haviam afirmado que já tinham se adaptado à diretiva, porém, apenas 2% das empresas estavam, de fato, em compliance com todas as resoluções do GDPR.
Com as com as mudanças que vêm com o GDPR, muitas empresas estão tendo que mudar a sua forma de operação. As empresas de e‑commerce e as de TI são algumas das que mais recolhem e processam dados de usuário, e, por isso, também devem ser algumas das que mais tenham que se adequar à regulamentação.
GDPR E A PROTEÇÃO DE DADOS NO BRASIL
Seguindo a tendência mundial de proteção de dados impulsionada pelo GDPR europeu, o atual presidente Michel Temer aprovou em agosto deste ano a Lei nº13.709, que deve ser conhecida como Lei Geral de Proteção de Dados ou LGPD.
A lei deve incluir o Brasil na lista de países que possuem uma legislação ou orientações específicas sobre o recolhimento, processamento e uso de dados pessoais.
As regras valem para qualquer pessoa ou empresa que faça o tratamento de informações em território nacional, cujo recolhimento esteja relacionado com a oferta de bens ou serviços. Ou seja, empresas de qualquer porte que coletem dados no Brasil ou de brasileiros e os usem para fins comerciais deverão atender à nova regra.
Reavaliar a necessidade de recolhimento de dados: um dos primeiros passos que as lojas virtuais devem fazer é reavaliar os seus processos para entender exatamente em que momento os dados dos consumidores são utilizados e quais são as informações de que realmente precisam.
Atualizar os Termos de Uso e Políticas de Privacidade: o GDPR também determina que o usuário saiba exatamente quais informações estão sendo recolhidas, onde elas estão sendo armazenadas e com qual finalidade, e uma das formas mais eficientes de garantir isso é atualizando os seus Termos de Uso e Políticas de Privacidade.
Utilizar sistemas mais transparentes: assim como as informações devem estar mais claras, os próprios sistemas devem ser mais transparentes com o consumidor. E é necessário não só mantê-lo informado sobre a coleta, mas deixar que ele decida se quer mover seus dados para outra empresa ou mesmo deletar seu nome e suas informações da internet. Nesse último caso, cabe o Direito ao Esquecimento, em que a empresa deve se comprometer a deletar definitivamente as informações e não reter nenhum tipo de arquivo relacionado ao usuário.
Reformular campos de opt-in e formulários: como no e‑commerce os formulários e outras ferramentas de marketing que utilizam opt-in (cadastro de informações para envio de mensagens e outros materiais), é imprescindível que as lojas virtuais revejam a forma como solicitam o preenchimento e criem etapas que garantam que o consumidor entendeu por que estava preenchendo o formulário e como as suas informações serão utilizadas. Isso garante que a empresa obtenha o consentimento real do visitante e é fundamental para evitar problemas judiciais no futuro.
Reforçar a proteção: utilizar plataformas de comércio eletrônico confiáveis e ter certificado SSL são algumas das ações iniciais para aumentar a segurança, mas é muito importante que a loja virtual busque estar sempre alinhada com as mais avançadas tecnologias do setor para garantir a sua privacidade e a de seus usuários.
Mudanças de acesso: as regras do GDPR indicam que deve haver transparência na coleta e gestão das informações, então os softwares precisam permitir que os usuários saibam exatamente quais dados estão sendo captados, como e por quê. O público também ganha o direito de mover suas informações ou deletá-las definitivamente, e as empresas precisam criar processos para atender essas solicitações.
Rever procedimentos de segurança: nenhuma empresa quer que os seus dados sejam violados, mas com a chegada do GDPR a tendência é de que as empresas refinem, ainda mais, os seus procedimentos de segurança para evitar o vazamento de dados.
Definir processos no caso de vazamento de informações: o GDPR estipula, ainda, um prazo de, no máximo, 72 horas para que uma companhia notifique seus clientes de que houve quebra de sigilo. O ideal é que as empresas já criem procedimentos e orientem suas equipes sobre o que deve ser feito no caso de um vazamento. Com isso será bem mais fácil atender o prazo determinado pelo GDPR.
Considerar a contratação de DPO: o GDPR também recomenda a contratação de um DPO (Data Protection Officer, ou Encarregado da Proteção de Dados, em português), caso a empresa trabalhe com um volume muito grande de informações, seja uma autoridade pública ou ainda faça um monitoramento em larga escala. Esse profissional terá tarefas importantes, como repassar as boas práticas à equipe e garantir o cumprimento das normas do GDPR.
NA PRÁTICA, COMO PREPARAR SUA EMPRESA PARA O GDPR?
Mas e quanto a sua empresa? Já está pronta para a regulamentação que deve ser implementada nos próximos dias? Se a resposta é não, saiba o que é preciso fazer para começar a se adaptar às novas regras que chegam com o GDPR.
Ter uma boa assessoria jurídica
Essa não é questão obrigatória do GDPR, mas é um ponto chave para se resguardar juridicamente de todas as questões legais que envolvem a privacidade e a segurança na internet.
Uma boa assessoria jurídica especializada em Direito Digital e Empresarial, como a Assis e Mendes, é fundamental para que a empresa possa identificar riscos e vulnerabilidades que podem gerar problemas judiciais, criar ferramentas de proteção e gestão de crise, como os Termos de Uso e Políticas de Privacidade, e proteger o seu negócio de qualquer questão jurídica que possa surgir como fruto do recolhimento e processamento de dados dos seus clientes.
Criar um plano de ação para vazamento de dados
Infelizmente, nem as grandes corporações estão livres de vazamento de dados. Prova disso é que até empresas como Netflix, LinkedIn, Netshoes, Uber e, mais recentemente, o Facebook, já apresentaram falhas em seus sistemas de segurança que culminaram no vazamento de milhões de informações de seus clientes.
Além da necessidade de estar sempre reavaliando e reforçando as barreiras tecnológicas que protegem a privacidade dos usuários, o GDPR exige que as empresas notifiquem rapidamente os consumidores que seus dados foram expostos.
Para isso, é fundamental implementar um procedimento que identifique o vazamento o quanto antes, identifique os usuários que foram prejudicados e gere uma notificação do que aconteceu. O ideal é criar esses sistemas antes da quebra de sigilo, já que o GDPR determina que os usuários sejam avisados em, no máximo, 72 horas.
Ter sistemas mais transparentes
Outro ponto bastante importante do GDPR é trazer mais transparência ao processamento de dados, e isso exige que as empresas criem sistemas e guias que permitam que o usuário saiba quanto, como e quais dados serão recolhidos e o que está sendo feito com eles.
Os controladores devem, inclusive, deixar que o usuário escolha que a empresa apague os seus dados, um conceito bastante semelhante ao Direito do Esquecimento, ou mesmo que suas informações sejam movidas para outras empresas, algo que está sendo chamado de portabilidade dos dados.
Para garantir todas essas ações, os sistemas de processamento de dados e as rotinas dos profissionais devem ser atualizadas o quanto antes. Já existem, também, opções de programas que fazem a administração dos dados seguindo os parâmetros do GDPR, o que pode fazer a migração de sistema uma opção interessante.
COMO A ASSIS E MENDES PODE AJUDAR SUA EMPRESA COM O GDPR
Ainda tem dúvidas sobre como implementar ações que assegurem o compliance com o GDPR e a nova legislação brasileira de proteção de dados? A Assis e Mendes pode te ajudar!
O escritório conta com profissionais especializados em Direito Digital, Empresarial e Tecnologia que estão alinhados com as normas mundiais de proteção de dados e tem larga experiência em ajudar empresas a adotarem operações mais eficientes, seguras e que geram resultados!